Skip to content
Logo csisimple

C Si Simple

Le réseau de connaissances pour les Pros !

Primary Menu
  • Technologie
  • Ordinateurs
  • Intelligence Artificielle
  • Home
  • Technologie
  • Ring-a-ding : IoT doorbell a exposé les mots de passe Wi-Fi de ses clients
  • Technologie

Ring-a-ding : IoT doorbell a exposé les mots de passe Wi-Fi de ses clients

8 novembre 2019 3 min read
L'application de configuration de Ring a envoyé des informations de configuration Wi-Fi non cryptées à certains dispositifs de sonnette, exposant ainsi les réseaux domestiques des clients.
L’application de configuration de Ring a envoyé des informations de configuration Wi-Fi non cryptées à certains dispositifs de sonnette, exposant ainsi les réseaux domestiques des clients.

 

Ring a apporté une solution à un problème de sécurité dans le code de configuration de ses produits de sécurité domestique connectés à Internet. Chercheurs de Bitdefender notifié Ring en juin d’une faille dans le logiciel des caméras Ring Video Doorbell Pro qui permettait aux espions sans fil d’obtenir les identifiants Wi-Fi des clients pendant l’installation de l’appareil – parce que ces identifiants étaient envoyés par une connexion Wi-Fi non sécurisée vers l’appareil en utilisant HTTP non chiffré.

Dans un rapport sur le bogue publié hier dans le cadre d’une divulgation coordonnée avec Ring, les chercheurs de Bitdefender ont expliqué que lorsque les clients ont configuré un Ring Video Doorbell Pro en dehors de la boîte :

…l’application smartphone (pour Ring) doit envoyer les identifiants du réseau sans fil. En entrant en mode configuration, l’appareil crée un point d’accès sans mot de passe (le SSID contient les trois derniers octets de l’adresse MAC). Une fois que ce réseau est en place, l’application se connecte automatiquement, interroge l’appareil, puis envoie les informations d’identification au réseau local. Tous ces échanges sont réalisés par HTTP simple. Cela signifie que les justificatifs d’identité sont exposés à toute écoute clandestine à proximité.

Un attaquant pourrait profiter de ce bug en forçant une victime à reconfigurer la sonnette. L’attaquant pourrait utiliser une attaque de désautorisation Wi-Fi ( » deauth « ) contre le dispositif pour le faire revenir en mode configuration et pourrait utiliser un dispositif Wi-Fi malveillant pour faire tomber la sonnette de porte de l’anneau de son réseau.

Le propriétaire de la sonnette de porte devrait alors remarquer que la sonnette de porte est déconnectée, ce qui peut exiger que l’attaquant ou quelqu’un d’autre sonne à la sonnette de porte avant que le propriétaire ciblé réalise que la sonnette de porte est hors ligne. Lorsque la sonnette est remise en mode configuration, l’application propose de la reconnecter au réseau Wi-Fi, puis de lui renvoyer les informations d’identification dans un message HTTP encodé en XML.

L’attaquant pourrait alors se connecter au réseau Wi-Fi de la victime s’il n’y a pas d’autres mesures de sécurité en place pour les arrêter (telles que la liste blanche des appareils ou le partage du réseau Wi-Fi).

Tous les périphériques affectés doivent maintenant être patchés, selon Ring et Bitdefender. Mais c’est un autre exemple de la raison pour laquelle les propriétaires d’appareils « Internet des objets » devraient envisager d’utiliser des routeurs Wi-Fi capables de segmenter les réseaux ou d’offrir des réseaux Wi-Fi « invités » qui restreignent l’accès des appareils connectés à Internet uniquement. Et les attaques de sourds-sourds peuvent toujours être utilisées pour désactiver ces dispositifs – permettant à un cambrioleur ou à un « pirate de porche » de couvrir ses traces en désactivant l’enregistrement vidéo.

Continue Reading

Previous: Les meilleurs docks et hubs Thunderbolt 3 et USB-C pour 2019
Next: Black Friday Pixel 4 offres déjà rabais sur le téléphone de 400 $.

Articles Liés

microsoft-dit-oui-aux-futures-requetes-dns Microsoft dit oui aux futures requêtes DNS cryptées dans Windows 4 min read
  • Technologie

Microsoft dit oui aux futures requêtes DNS cryptées dans Windows

19 novembre 2019
google-samsung-corrige-un-defaut-despionnage Google & Samsung corrige un défaut d’espionnage Android. D’autres fabricants peuvent encore être 6 min read
  • Technologie

Google & Samsung corrige un défaut d’espionnage Android. D’autres fabricants peuvent encore être

19 novembre 2019
le-demontage-du-macbook-pro-de-16 Le démontage du MacBook Pro de 16 pouces d’iFixit révèle le même vieux clavier que nous. 3 min read
  • Technologie

Le démontage du MacBook Pro de 16 pouces d’iFixit révèle le même vieux clavier que nous.

18 novembre 2019
le-fbi-a-redige-une-resolution Le FBI a rédigé une résolution d’Interpol appelant à l’interdiction de bout en bout 5 min read
  • Technologie

Le FBI a rédigé une résolution d’Interpol appelant à l’interdiction de bout en bout

18 novembre 2019
les-etats-unis-accordent-a-huawei-sa-troisieme Les États-Unis accordent à Huawei sa troisième exemption de 90 jours de soutien à l’exportation 3 min read
  • Technologie

Les États-Unis accordent à Huawei sa troisième exemption de 90 jours de soutien à l’exportation

18 novembre 2019
apple-sort-ios-et-ipados-13-2-3 Apple sort iOS et iPadOS 13.2.3 2 min read
  • Technologie

Apple sort iOS et iPadOS 13.2.3

18 novembre 2019

Articles récents

  • L’initiative du MIT pour l’énergie accorde huit subventions de fonds d’amorçage pour les premières étapes de la recherche sur l’énergie du MIT
  • Améliorer l’équité en matière de santé dans le monde en aidant les cliniques à faire plus avec moins
  • Identifier une mélodie en étudiant le langage corporel d’un musicien
  • Lancement du programme MIT-Takeda | MIT News
  • Apporter le pouvoir prédictif de l’intelligence artificielle aux soins de santé

Catégories

  • Entreprises
  • Intelligence Artificielle
  • Ordinateurs
  • Technologie
  • Magazine W30
  • Contact
Copyright © All rights reserved. | Magnitude by AF themes.